En 2016, WhatsApp finalmente permitió el cifrado completo de extremo a extremo para chats y videollamadas para garantizar que nadie más que el destinatario pueda descifrar el contenido de sus comunicaciones. Desafortunadamente, ha salido a la luz que el sistema de WhatsApp ha estado plagado de una gran vulnerabilidad que fue descubierta por Tobias Boelter, un investigador de criptografía y seguridad de la Universidad de California, Berkeley..
En una entrevista con el periódico británico The Guardian, Boelter dijo que la puerta trasera podría permitir que Facebook lea contenido cifrado de extremo a extremo, lo que significa que la red social podría cumplir con las órdenes judiciales para que los mensajes descifrados estén disponibles para la policía y otras agencias gubernamentales.
ACTUALIZAR: Hemos recibido una respuesta de WhatsApp con respecto a la supuesta puerta trasera.
Un portavoz de WhatsApp proporcionó la siguiente declaración a iDownloadBlog, explicando por qué la afirmación de The Guardian de seguridad potencialmente comprometida es falsa.
The Guardian publicó una historia esta mañana alegando que una decisión de diseño intencional en WhatsApp que evita que las personas pierdan millones de mensajes es una "puerta trasera" que permite a los gobiernos obligar a WhatsApp a descifrar las secuencias de mensajes. ** Esta afirmación es falsa. **
WhatsApp no le da a los gobiernos una "puerta trasera" en sus sistemas y combatiría cualquier solicitud del gobierno para crear una puerta trasera. La decisión de diseño a la que se hace referencia en la historia de Guardian evita que se pierdan millones de mensajes, y WhatsApp ofrece notificaciones de seguridad a las personas para alertarlos sobre posibles riesgos de seguridad.
WhatsApp publicó un documento técnico sobre su diseño de cifrado, y ha sido transparente sobre las solicitudes del gobierno que recibe, publicando datos sobre esas solicitudes en el Informe de solicitudes del gobierno de Facebook. (https://govtrequests.facebook.com/)
El cifrado utilizado por WhatsApp se basa en el protocolo de señal de Open Whisper Systems.
Lo sospechoso aquí es que la misma vulnerabilidad no está presente en la aplicación Signal. Boelter ha confirmado que la vulnerabilidad básicamente permite a WhatsApp cambiar las claves de cifrado para los usuarios sin conexión. Como resultado, cualquier mensaje no enviado o futuro se enviaría con una nueva clave de cifrado sin que el destinatario se dé cuenta..
El remitente solo recibe una notificación si ha habilitado las advertencias de cifrado en la configuración de WhatsApp, pero solo después de que los mensajes hayan sido reenviados. Este reencriptado y retransmisión de manera efectiva permite a WhatsApp interceptar y leer los mensajes de los usuarios.
Compare esto con el sistema de señal antes mencionado que notifica al remitente cualquier cambio en las claves de seguridad sin reenviar automáticamente el mensaje. De hecho, un mensaje no se enviará a través de la aplicación Signal si se produce un cambio en las claves de cifrado.
Boelter informó el problema a Facebook en abril de 2016 solo para que le dijeran que se trataba de un "comportamiento esperado", lo que generó sospechas de que podría tratarse de una puerta trasera creada deliberadamente en lugar de ser una supervisión de ingeniería o un error de algún tipo.
Más preocupante, The Guardian ha verificado que la puerta trasera todavía existe hoy..
Los defensores de la privacidad han criticado el desarrollo como una "gran amenaza para la libertad de expresión", diciendo que podría ser explotado por las agencias gubernamentales. La existencia de una puerta trasera dentro del cifrado de WhatsApp es "una mina de oro para las agencias de seguridad" y "una gran traición a la confianza del usuario", dijo Kristie Ball, codirectora y fundadora del Centro de Investigación de Información, Vigilancia y Privacidad..
En cualquier caso, Facebook definitivamente debería aclarar si el cifrado de extremo a extremo de WhatsApp se ha visto comprometido o no. Y si es así, surge la pregunta inevitable: Facebook ha sido obligado por un tercero a construir una puerta trasera en WhatsApp?
Facebook rechazó el comentario, pero actualizaremos el artículo si lo hacen.
Fuente: The Guardian